La mosaïque des lois sur la vie privée aux États-Unis couvre désormais la moitié du pays — et les entreprises n'ont plus le temps de s'adapter

Lorsque le California Consumer Privacy Act (CCPA) est entré en vigueur en janvier 2020, il s'agissait de la première loi complète sur la confidentialité des données aux États-Unis — et beaucoup pensaient qu'elle serait rapidement suivie d'une législation fédérale créant un standard national uniforme. Six ans plus tard, la législation fédérale sur la confidentialité reste bloquée. Ce qui a émergé à la place, c'est une mosaïque État par État qui couvre désormais la majorité de la population américaine, avec des différences substantielles dans les droits, l'application et les seuils d'applicabilité qui ont transformé la conformité en un défi opérationnel significatif.

Où en est la mosaïque

D'ici 2026, des lois complètes sur la vie privée sont en vigueur ou imminentes dans plus de 20 États, dont la Californie (CCPA/CPRA), la Virginie, le Colorado, le Connecticut, l'Utah, le Texas, l'Oregon, le Montana, l'Indiana, le Tennessee, l'Iowa, la Floride, le Delaware, le New Hampshire, le New Jersey, le Kentucky, le Maryland, le Nebraska, le Minnesota, le Rhode Island, et plusieurs autres qui ont adopté des lois avec des dates d'entrée en vigueur futures.

Les lois partagent une architecture commune empruntée au GDPR : les consommateurs ont le droit de savoir quelles données sont collectées à leur sujet, le droit de les supprimer, le droit de refuser la vente de leurs données et le droit de corriger les données inexactes. Mais les détails diffèrent considérablement d'un État à l'autre de manière à impacter les programmes de conformité.

Les seuils d'applicabilité varient largement. Le CPRA de Californie s'applique aux entreprises dont le chiffre d'affaires annuel dépasse 25 millions de dollars, qui traitent les données de 100 000 consommateurs ou plus, ou qui tirent 50 % de leurs revenus de la vente de données. Le TDPSA du Texas s'applique à toute entreprise qui traite les données des résidents du Texas, sans seuil de revenu — une portée considérablement plus large. L'Oregon Consumer Privacy Act s'applique aux entreprises qui traitent les données de 100 000 consommateurs de l'Oregon ou plus, ou qui tirent des revenus du traitement des données de 25 000 consommateurs. Une entreprise qui n'est pas soumise à la loi californienne pourrait être pleinement soumise à celles du Texas et de l'Oregon.

Le problème de la « vente »

Toutes les lois américaines sur la vie privée donnent aux consommateurs le droit de refuser la « vente » de leurs données personnelles, mais les définitions de la « vente » divergent selon les États d'une manière qui affecte considérablement les pratiques commerciales nécessitant des mécanismes d'opt-out.

Le CPRA californien définit le « partage » séparément de la « vente » pour capturer la publicité comportementale même lorsque de l'argent n'est pas échangé — une entreprise qui envoie des données utilisateur à un réseau publicitaire sans payer effectue un « partage » selon la définition californienne, et les consommateurs peuvent s'y opposer. De nombreux autres États utilisent une définition plus étroite liée à une contrepartie monétaire, ce qui signifie que les flux de publicité comportementale qui exigent un opt-out en Californie ne déclenchent pas cette exigence en Virginie.

Cette divergence place les entreprises qui opèrent à l'échelle nationale dans une position difficile. Calibrer les flux de consentement selon la définition large de la Californie et les appliquer à l'échelle nationale est opérationnellement plus simple que des flux spécifiques à chaque État, mais peut être plus restrictif que ce qui est légalement requis dans les États aux définitions plus étroites. Calibrer selon les exigences spécifiques de chaque État est plus permissif mais nécessite de maintenir une logique spécifique à chaque État dans toute la stack de données.

Les courtiers en données sous pression spécifique

Les courtiers en données — entreprises qui collectent et vendent des informations personnelles provenant de diverses sources — font face à des réglementations étatiques de plus en plus spécifiques au-delà des cadres généraux de confidentialité des consommateurs. Le California Delete Act (SB 362), pleinement entré en vigueur en 2026, exige que les courtiers en données enregistrés honorent les demandes de suppression soumises via un portail unique géré par l'État plutôt que d'obliger les consommateurs à contacter chaque courtier individuellement. Le Texas, l'Oregon et plusieurs autres États ont adopté ou développent des exigences similaires d'enregistrement et d'opt-out pour les courtiers de données.

L'effet pratique est que les courtiers en données qui bénéficiaient auparavant de la friction des demandes de suppression par courtier font désormais face à des mécanismes de suppression consolidés que les consommateurs peuvent réellement utiliser. Les données du secteur suggèrent que les volumes de demandes de suppression ont considérablement augmenté depuis la mise en place du mécanisme centralisé californien — ce qui signifie que le mécanisme fonctionne comme prévu, mais crée une charge opérationnelle significative pour les courtiers qui doivent traiter les demandes sur l'ensemble de leur pipeline de données.

Données sensibles : là où les règles sont les plus strictes

Toutes les lois américaines sur la vie privée traitent certaines catégories de données comme « sensibles » et imposent des exigences plus strictes — généralement un consentement opt-in plutôt que opt-out. Ces catégories incluent de manière large les données biométriques, les données de santé, la géolocalisation précise, les données financières, la race et l'origine ethnique, les croyances religieuses, l'orientation sexuelle et les données des enfants. Mais les définitions et exigences spécifiques varient selon les États.

La géolocalisation précise est particulièrement contestée. La Californie exige un consentement opt-in pour la collecte de « données de géolocalisation précises » définies comme étant dans un rayon de 1 850 pieds (~550 mètres). Le Texas utilise un rayon similaire. Certains États n'ont pas spécifié de rayon, laissant le seuil ambigu. Pour les applications qui utilisent des fonctionnalités de localisation — navigation, recherche locale, météo, fitness — la question de conformité de savoir si elles collectent une géolocalisation « précise » dépend de la loi de l'État applicable.

Ce que résoudrait (et ne résoudrait pas) une législation fédérale

L'American Privacy Rights Act (APRA) — le projet de loi fédéral sur la vie privée le plus récent à avoir pris une réelle dynamique — préempterait les lois des États dans de nombreux domaines, créant un plancher national pour les droits des consommateurs. Il inclut des exigences de minimisation des données (vous ne pouvez collecter que ce qui est nécessaire à votre objectif déclaré), des droits d'opt-out forts pour la publicité ciblée et un droit d'action privé pour les consommateurs afin de poursuivre en justice en cas de violations.

Les opposants, tant du côté de l'industrie (préoccupés par le droit d'action privé et les exigences strictes de minimisation des données) que des défenseurs des consommateurs (qui souhaitent des protections plus fortes que celles prévues par le projet fédéral), l'ont bloqué à plusieurs reprises. La mosaïque continuera probablement de s'étendre au moins à court terme.

Conformité pratique dans une mosaïque

Pour les entreprises naviguant cette mosaïque, l'approche pratique que la plupart des programmes de conformité ont adoptée est celle du « plus grand dénominateur commun avec calibrage sélectif ». Appliquez largement le cadre californien — c'est généralement le plus strict et il couvre la plus grande population — et documentez les endroits où d'autres États ont des exigences spécifiques qui diffèrent.

Les investissements opérationnels qui portent le plus leurs fruits sont : un inventaire complet des données (vous ne pouvez pas répondre aux demandes de droits sur les données si vous ne savez pas où elles se trouvent), une plateforme de gestion des consentements capable de servir des flux de consentement adaptés à chaque État, un processus pour honorer les demandes de suppression sur l'ensemble du pipeline de données (pas seulement la base de données principale) et une base légale documentée pour chaque catégorie de traitement de données. Ces investissements sont précieux indépendamment des lois des États applicables et créent la fondation pour gérer toutes les nouvelles exigences qui émergeront lors du prochain cycle législatif.